THORChain: hack de 10,8 M$ e um halt de 13 horas

Em 15 de maio de 2026, um único nó malicioso reconstruiu a chave privada de uma abóbada da THORChain e drenou cerca de 10,8 milhões de dólares espalhados por nove cadeias simultaneamente. Não houve manipulação de oráculo nem bug de contrato inteligente: o atacante quebrou a própria criptografia que divide o controle dos fundos entre dezenas de validadores. O que foi realmente notável veio depois. O protocolo que por anos se apresentou como "imparável" interrompeu suas assinaturas em questão de minutos e congelou a rede inteira por quase 13 horas mediante uma decisão coordenada de governança, garantindo zero perdas para os usuários finais sem cunhar um único RUNE novo. E deixou uma pergunta incômoda servida de bandeja: se um punhado de operadores pode desligar tudo em minutos, estamos falando de descentralização real ou de um ponto central de controle com bom marketing?

O que aconteceu exatamente com a THORChain em 15 de maio?

A THORChain é um protocolo de liquidez de cadeia cruzada (cross-chain): permite trocar, por exemplo, Bitcoin nativo por Ethereum nativo sem passar por uma exchange centralizada e sem envolver o ativo em um token sintético. Os fundos que tornam cada swap possível vivem em reservas que o protocolo chama de abóbadas Asgard.

Em 13 de maio, um operador entrou no conjunto de validadores com um nó preparado para atacar. Durante dois dias, esse nó participou das cerimônias de assinatura normais do protocolo enquanto filtrava, pouco a pouco, fragmentos da chave que controla uma das abóbadas. Em 15 de maio, ele já tinha material suficiente para reconstruir a chave privada completa dessa abóbada — que custodiava aproximadamente um quinto de todos os fundos do protocolo — e assinar transferências de saída válidas sozinho.

O resultado: cerca de 10,8 milhões de dólares saíram da abóbada em nove cadeias distintas (Bitcoin, Ethereum, BNB Chain, Base, Avalanche, Dogecoin, Litecoin, Bitcoin Cash e XRP) sem que nenhum sistema de defesa pudesse frear as assinaturas a tempo, porque, aos olhos do protocolo, essas assinaturas eram legítimas. O atacante tinha a chave real.

O que é uma abóbada Asgard e como sua chave é distribuída?

Imagine um cofre cuja porta não se abre com uma única chave, mas com várias distribuídas entre dezenas de pessoas; é necessário que um número mínimo delas utilize sua chave ao mesmo tempo. Ninguém pode abri-lo sozinho e, se uma pessoa desaparecer, o cofre continua funcionando com as demais. Isso é, conceitualmente, uma abóbada Asgard: o controle não está em um custodiante único, mas repartido entre muitos operadores de nós.

A tecnologia que torna isso possível chama-se assinatura de limiar (TSS, de threshold signature scheme): cada nó guarda apenas um fragmento de chave (key share), nunca a chave inteira, e é necessário um quórum de fragmentos para autorizar qualquer saída de fundos. A chave privada completa, em teoria, não existe em nenhum computador em momento algum — ela é reconstruída matematicamente apenas durante o instante da assinatura e desaparece.

A promessa de segurança é contundente: mesmo que um atacante comprometa um nó, ou vários, não obtém nada útil enquanto não atingir o quórum. Por isso o caso da THORChain é tão chamativo. O atacante não reuniu o quórum: ele enganou os nós honestos para que lhe entregassem, rodada após rodada, os pedaços que faltavam.

Como o atacante quebrou uma assinatura de limiar sem reunir o quórum?

A THORChain implementa a assinatura de limiar com uma variante própria (um fork) da biblioteca tss-lib da Binance, que aplica o protocolo criptográfico conhecido como GG20. Aí reside a brecha.

Segundo a análise independente do pesquisador de segurança Banteg, o fork da THORChain omitiu uma verificação de segurança que o design original exige: quando um nó se junta, ele deve demonstrar matematicamente — com uma prova que não revela nenhum segredo — que os parâmetros criptográficos que fornece estão bem formados. É uma verificação de "solidez" sobre um componente chamado módulo de Paillier. Na receita padrão, isso é obrigatório; na versão modificada da THORChain, não era executado.

A analogia: pense nas cerimônias de assinatura como reuniões onde cada participante coloca seu pedaço de segredo dentro de uma caixa com cadeado e a passa aos demais para um cálculo conjunto, confiando que a caixa de cada um é verdadeira e não uma armadilha. A prova de solidez é o guarda que revisa se a caixa de cada participante é legítima antes de deixá-lo entrar. A THORChain removeu o guarda. O atacante apresentou-se com uma "caixa" manipulada e, cada vez que os nós honestos colocavam seu pedaço dentro para colaborar em uma assinatura, essa caixa trucada filtrava uma pitada do segredo de cada um.

Repetido durante dois dias e muitas rodadas de assinatura, esse gotejamento — que os pesquisadores descrevem como vazamento progressivo de material de chave — foi suficiente para que o atacante acumulasse as peças que faltavam e reconstruísse por conta própria a chave privada completa da abóbada. A partir daí, as assinaturas mal-intencionadas eram indistinguíveis das legítimas: elas possuíam a chave autêntica.

O detalhe importante é que não foi uma falha no conceito de assinatura de limiar, mas sim de uma implementação que removeu uma salvaguarda. É dívida criptográfica: uma biblioteca complexa, um fork sem a cobertura total de testes e um detalhe omitido que por anos ninguém explorou até que alguém o fizesse.

Qual foi o valor do saque e como ele foi distribuído por cadeia?

O atacante consolidou os fundos em um punhado de endereços. Nas cadeias compatíveis com Ethereum, quase todo o saque foi para o endereço 0x82fc0d…54eb; no Bitcoin, para bc1ql4u…6f37. A distribuição aproximada do valor extraído foi:

O nó malicioso operava a partir do endereço de validador thor16ucjv…cn84q. Diferente do caso da Echo na Monad — onde o atacante cunhou 77 milhões nominais, mas só conseguiu monetizar 816.000 dólares porque não havia liquidez para venda —, aqui o dano nominal e o dano real coincidem: o atacante não precisava de um mercado para vender nada. Ele retirou ativos reais e resgatáveis diretamente da abóbada. Por isso, os 10,8 milhões foram perdidos de fato, sem o "firewall acidental" da iliquidez.

Como a THORChain conseguiu parar em minutos?

O sistema de defesa da THORChain monitora constantemente algo muito simples: o que o protocolo acredita que possui versus o que realmente existe em cada cadeia externa. É uma verificação automática de solvência, uma espécie de auditoria de caixa permanente. Quando os saldos reais começaram a cair sem operações legítimas que justificassem, os alertas dispararam sozinhos: poucos minutos após o início da drenagem, essa verificação fez com que a camada de comunicação com as cadeias externas (Bifrost) parasse de assinar transações automaticamente, sem que nenhum humano apertasse um botão. Isso protegeu as abóbadas que ainda não estavam comprometidas.

O que veio a seguir não foi automático, mas humano e coordenado. Os validadores se organizaram por seus canais de comunicação, confirmaram o vetor do ataque e, em questão de horas, chegaram a um consenso para realizar um halt coordenado: congelar completamente o estado da rede. Um halt é exatamente o que parece — desligar a máquina de consenso para que ela não processe absolutamente nada, nem um único swap. O congelamento durou 12 horas e 42 minutos (dos blocos 26190429 a 26191149), tempo que os desenvolvedores precisaram para compilar, testar e implantar um patch de emergência, thornode v3.18.1, que corrigia o vazamento.

Como o dinheiro foi recuperado sem emitir novos RUNE?

Aqui a THORChain fez algo que merece reconhecimento: resolveu um rombo de 10,8 milhões sem imprimir tokens. A tentação habitual após um hack é cunhar novos ativos nativos para cobrir a lacuna, o que dilui todos os detentores e costuma derrubar o preço em espiral. A THORChain proibiu isso expressamente em seu plano de recuperação, a proposta de governança ADR-028.

O plano distribuiu o impacto nesta ordem:

• Primeiro, a POL. A POL (liquidez de propriedade do protocolo, protocol-owned liquidity) é o capital que o próprio protocolo possui em seus pools, diferentemente do que é fornecido pelos usuários. Funciona como o colchão de reservas da casa. Essas reservas absorveram a primeira leva de perdas, sendo esgotadas prioritariamente para não afetar mais ninguém.
• Depois, os detentores de sintéticos. O déficit residual que a POL não cobriu foi distribuído entre os synth holders (detentores de ativos sintéticos do protocolo), e não entre os provedores de liquidez tradicionais.
• Reposição sem diluição. Para recompor a POL com o tempo, o protocolo redireciona uma fração das receitas futuras dos swaps para reconstruir essas reservas. Não se cunha nem se vende RUNE novo em momento algum.
• Punição ao atacante. O protocolo confiscou (slashed) a totalidade da fiança em RUNE que o validador malicioso havia depositado para poder operar, ao mesmo tempo em que protegia os validadores honestos que compartilhavam a abóbada e não tiveram envolvimento.

Para os usuários de varejo diretamente afetados, foi habilitado um portal de recuperação com 10 milhões de dólares da tesouraria e um prazo de 21 dias — até 4 de junho de 2026 — para revogar aprovações maliciosas e reivindicar compensação. O resultado final foi zero perda para os usuários finais: quem tinha fundos na THORChain os recuperou.

Isso é descentralização real ou um ponto central de desligamento?

Esta é a pergunta editorialmente interessante, e não possui uma resposta confortável. A THORChain vendeu-se por anos como uma infraestrutura neutra e imparável, que não censura transações e que não pode ser desligada por ninguém. Em 15 de maio, um grupo coordenado de operadores a desligou inteira em horas.

As duas leituras são legítimas e opostas:

A leitura otimista: um sistema descentralizado que pode parar a si mesmo diante de uma emergência, sem um CEO ou um comitê central que dê a ordem, e resolver o dano internamente sem prejudicar seus usuários, é mais robusto, não menos. A interrupção inicial foi automática; o congelamento, fruto de um consenso entre operadores independentes — autorregulação descentralizada funcionando ao vivo, exatamente o que o setor precisa demonstrar enquanto crescem as pressões regulatórias nos EUA para submeter o DeFi à supervisão.

A leitura crítica: se um quórum de validadores pode congelar a rede, reescrever quem assume as perdas e abrir um portal de compensação, então esse quórum é um ponto de controle. Hoje o usaram para algo bom; a mesma capacidade serve para censurar uma transação incômoda ou ceder a uma ordem judicial. O protocolo é "imparável" até que seus operadores decidam o contrário.

A verdade prática é que quase todo o DeFi de relevância possui esse botão em algum lugar, embora seu marketing diga que não. O mérito da THORChain é tê-lo usado com transparência e a favor do usuário. O risco de fundo é que o botão existe, e quem o controla importa tanto quanto o código que é auditado.

Por que a THORChain é um alvo tão recorrente?

O exploit não acontece no vácuo. A THORChain carrega uma reputação pesada: por sua filosofia de neutralidade e resistência à censura, sua liquidez serviu de lavanderia para grupos vinculados à Coreia do Norte. Está confirmado que movimentou parte dos 1.500 milhões de dólares roubados da Bybit em 2025, atribuídos ao grupo Lazarus — o contexto que desenvolvemos em nossa análise sobre se a passividade da THORChain diante de fundos ilícitos é cumplicidade ou código neutro.

E o incidente faz parte de uma sequência brutal. Apenas em abril de 2026, as perdas por exploits no setor superaram os 600 milhões de dólares, com casos como o da KelpDAO (292 milhões) e Drift (285 milhões). A constante de 2026 é a mesma que viemos documentando: o elo fraco raramente é a lógica do contrato auditado; é a camada de governança, as chaves e, como aqui, a criptografia da própria infraestrutura cross-chain.

O que o leitor pode monitorar ao vivo após este caso?

Um exploit desta natureza é um dado congelado: ocorreu, foi corrigido, foi relatado. O que muda dia a dia é o risco que continua vivo em torno da liquidez cross-chain. Três verificações com dados em tempo real, em vez de confiar em um print de semanas atrás:

• O peg dos wrappers de Bitcoin. A THORChain movimenta BTC nativo entre cadeias, mas boa parte do BTC que circula pelo DeFi é BTC embrulhado. Verifique ao vivo se os principais wrappers de Bitcoin mantêm sua paridade 1:1 ou se estão desviando em nosso monitor de wrappers de BTC.
• O risco comparado das pontes. O vetor deste hack é, no fundo, o risco de toda infraestrutura cross-chain. Antes de mover fundos entre cadeias, compare modelos de segurança e o histórico das pontes em nosso comparador de pontes.
• A saúde das stablecoins e dos wrappers de ETH que tocam estas mesmas pontes, no monitor de stablecoins e no monitor de wrappers de ETH.

Quais lições ficam do caso?

O exploit das abóbadas Asgard deixa três conclusões. A técnica: a criptografia de limiar é tão forte quanto sua implementação mais fraca — um fork que remove uma única prova de solidez transforma uma salvaguarda matemática em uma porta aberta por anos, e auditar os contratos não basta se ninguém audita a biblioteca de assinatura com o mesmo rigor. A operacional: a velocidade de resposta importou mais que a prevenção; a THORChain não evitou o roubo, mas o conteve em minutos e o resolveu com zero perdas para o usuário, sem diluir seu token. E a mais incômoda: o mesmo poder que salvou os usuários em 15 de maio é um ponto de controle que contradiz o relato de "imparável". O RUNE caiu entre 12% e 15% nas 24 horas seguintes, não pelo dinheiro perdido — que era recuperável — mas por essa contradição. A próxima vez que um protocolo cross-chain disser que ninguém pode desligá-lo, a pergunta correta não é se isso é verdade. É: e se pudessem, você gostaria que não pudessem?

Fontes e links: THORChain · Documentação da THORChain (ADR-028) · Rekt.news (cobertura de exploits) · tss-lib (Binance) · Etherscan (rastreamento on-chain) · THORChain Network (dashboard)